发明名称 |
恶意URL的形式化检测方法和系统 |
摘要 |
本发明公开了一种恶意URL的形式化检测方法,包括:根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串;从拆分得到的字符串中提取指定的字符串;补全处理不存在的字符串;将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值;遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL的哈希值进行对比检测。本发明还公开了一种恶意URL的形式化检测系统。本发明提出的技术方案可以有效对抗URL格式的多变性,相对传统的URL检测方法可以对经常变化格式的恶意URL有更高的检出率,也可以采用单条特征对应多条恶意URL的格式变体,所以该检测方法所需要的病毒特征库体积更小,更加节省内存和磁盘空间。 |
申请公布号 |
CN102843271A |
申请公布日期 |
2012.12.26 |
申请号 |
CN201110358011.3 |
申请日期 |
2011.11.14 |
申请人 |
哈尔滨安天科技股份有限公司 |
发明人 |
苏培旺;李石磊;张栗伟 |
分类号 |
H04L12/26(2006.01)I;H04L29/06(2006.01)I |
主分类号 |
H04L12/26(2006.01)I |
代理机构 |
|
代理人 |
|
主权项 |
恶意URL的形式化检测方法,其特征在于,包括:步骤a、根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串;步骤b、从拆分得到的字符串中提取指定的字符串,包括协议、域名、端口号、和路径;步骤c、判断协议字符串和端口号字符串是否存在,对不存在的字符串部分进行补全处理;步骤d、将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值,作为与待检测URL对应的哈希值;步骤e、遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL对应的哈希值进行对比检测。 |
地址 |
150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 |